Eliminieren von vCenter Server-Plug-Ins von Drittanbietern

Reduzieren oder eliminieren Sie vCenter Server-Plug-Ins von Drittanbietern.

Die Installation von Plug-Ins und anderen Drittanbieter-Querverbindungen zwischen Systemen kann die Grenzen zwischen verschiedenen Infrastruktursystemen verwischen. Dadurch können Angreifer, die ein System kompromittiert haben, lateral zu einem anderen wechseln. Da vSphere eng an andere Systeme gekoppelt ist, ergeben sich auch Hindernisse in Bezug auf rechtzeitige Patches und Upgrades. Stellen Sie sicher, dass Plug-Ins oder Add-Ons von Drittanbietern für vSphere-Komponenten einen Mehrwert schaffen. Wenn Sie Plug-Ins anstelle einzelner Verwaltungskonsolen verwenden möchten, stellen Sie sicher, dass ihre Verwendung die von ihnen verursachten Risiken ausgleicht.

Vorsicht bei Infrastrukturverwaltungsschnittstellen

Gehen Sie vorsichtig vor, wenn Sie Infrastrukturverwaltungsschnittstellen mit allgemeinen Allzweckauthentifizierungs- und -autorisierungsquellen verbinden.

Zentrale Unternehmensverzeichnisse sind aufgrund ihrer Rolle bei der Autorisierung im gesamten Unternehmen Ziele für Angreifer. Sobald dieses Verzeichnis kompromittiert ist, kann ein Angreifer sich innerhalb einer Organisation frei bewegen. Die Verbindung der IT-Infrastruktur mit zentralisierten Verzeichnissen hat sich als erhebliches Risiko für Ransomware und andere Angriffe erwiesen. Isolieren Sie die Authentifizierung und Autorisierung aller Infrastruktursysteme.

Für ESXi:

• Gesamte Hostverwaltung über vCenter Server durchführen
• Deaktivieren der ESXi Shell
• ESXi in den normalen Sperrungsmodus versetzen
• ESXi-Root-Kennwort auf ein komplexes Kennwort festlegen

Aktivieren von vSphere Distributed Resource Scheduler

Aktivieren Sie vSphere Distributed Resource Scheduler (DRS) im vollautomatisierten Modus.

vSphere DRS verwendet vMotion zum Verschieben von Arbeitslasten zwischen physischen Hosts, um Leistung und Verfügbarkeit zu gewährleisten. Der vollautomatisierte Modus stellt sicher, dass der vSphere Lifecycle Manager mit DRS arbeiten kann, um Patch- und Aktualisierungsvorgänge zu aktivieren.

Wenn bestimmte VM-zu-Host-Zuordnungen erforderlich sind, verwenden Sie DRS Regeln. Verwenden Sie nach Möglichkeit „Sollte“-Regeln anstelle von „muss“, damit Sie die Regel beim Anwenden des Patches und der Wiederherstellung mit Hochverfügbarkeit vorübergehend anhalten können.

Aktivieren von vSphere High Availability

vSphere High Availability (HA) startet Arbeitslasten auf anderen ESXi-Hosts in einem Cluster neu, wenn ein ESXi-Host plötzlich ausfällt. Stellen Sie sicher, dass die Einstellungen für HA für Ihre Umgebung ordnungsgemäß konfiguriert sind.

Aktivieren von Enhanced vMotion Compatibility

vSphere Enhanced vMotion Compatibility (EVC) stellt sicher, dass Arbeitslasten live migriert werden können, indem vMotion zwischen ESXi-Hosts in einem Cluster verwendet wird, auf dem verschiedene CPU-Generationen ausgeführt werden. EVC hilft auch in Situationen mit CPU-Schwachstellen, in denen neue Microcode-Anweisungen für CPUs eingeführt werden können, wodurch sie vorübergehend miteinander inkompatibel sind.

Schutz von Systemen vor Manipulationen

Stellen Sie sicher, dass ESXi-Hosts und die verwandten Speicher- und Netzwerkkomponenten vor Manipulation, nicht autorisiertem Zugriff und nicht autorisierter Entfernung geschützt sind. Schützen Sie die Hosts auch vor Umweltfaktoren, etwa Überschwemmungen, extremen Temperaturen (niedrig oder hoch) sowie Staub und Schmutz.

Die Verwendung von Sicherheitsfunktionen, etwa vSphere Native Key Provider und ESXi-Schlüsselpersistenz, kann dazu führen, dass sicheres Material lokal auf ESXi-Hosts gespeichert wird, sodass Angreifer anderweitig geschützte Cluster starten und entsperren können. Es ist wichtig, die physische Sicherheit und die entsprechenden Bedrohungen wie Diebstahl zu berücksichtigen.

Abgesehen von Diebstahl bedeutet sicherheitsorientiertes Denken auch, sich selbst und Ihrer Organisation Fragen zu stellen, beispielsweise:

• Was könnte schief gehen?
• Wo finde ich heraus, ob ein Fehler aufgetreten ist?

Diese Fragen gewinnen im Umgang mit nicht besetzten Datencenter-Standorten und Kollokationsanlagen an Bedeutung. Stellen Sie in Bezug auf Datencenter- und Rack-Konfigurationen die folgenden Fragen:

• Werden die Türen zum Datencenter von selbst automatisch geschlossen und entsprechend verriegelt?
• Würden angelehnte Türen eine proaktive Warnung nach sich ziehen?
• Ist es bei verriegelten Türen immer noch möglich, von der Seite oder von oben in das Rack zu gelangen und ein Kabel zu trennen? Kann eine nicht autorisierte Person ein Kabel an einen Netzwerk-Switch anschließen?
• Ist es möglich, ein Gerät, etwa ein Speichergerät, oder sogar einen ganzen Server zu entfernen? Was würde in einem solchen Szenario geschehen?

Weitere relevante Fragen:

• Könnte jemand Informationen über Ihre Umgebung oder Ihr Unternehmen aus Informationen, die auf den Servern angezeigt werden, etwa LCD-Panels oder Konsolen, erhalten?
• Wenn diese Informationsanzeigen inaktiv sind, könnten sie von außerhalb des Racks ausgelöst werden, etwa durch Verwendung eines steifen Metalldrahtes?
• Gibt es andere Schalter, etwa den Ein-/Ausschalter, der gedrückt werden könnte, um eine Dienstunterbrechung in Ihrem Unternehmen zu verursachen?

Gibt es andere physische Bedrohungen, etwa die Möglichkeit von Überschwemmungen, Einfrieren oder hoher Hitze oder Staub und Schmutz aus der Umwelt, die sich auf die Verfügbarkeit auswirken würden?

Aussagekräftige Benennung von vSphere-Objekten

Benennen Sie vSphere-Objekte aussagekräftig, und ändern Sie die Standardnamen der Objekte, um Genauigkeit zu gewährleisten und Verwirrung zu reduzieren.

Verwenden Sie gute Benennungspraktiken für vSphere-Objekte. Ändern Sie dazu Standardnamen wie „Datencenter“, „vSAN-Datenspeicher“, „DSwitch“, „VM-Netzwerk“ usw., um zusätzliche Informationen aufzunehmen. Dies trägt zur Verbesserung der Genauigkeit und Reduzierung von Fehlern bei der Entwicklung, Implementierung und Überwachung von Sicherheitsrichtlinien und betrieblichen Prozessen bei.

Portgruppen, die 802.1Q VLAN-Tagging verwenden, könnten die VLAN-Nummer enthalten. Datencenter- und Clusternamen können Speicherorte und Zwecke umfassen. Datenspeicher- und Virtual Distributed Switch-Namen können die Namen des Datencenters und der Cluster umfassen, an die sie angehängt sind. Schlüsselanbieternamen sind besonders wichtig, insbesondere beim Schutz verschlüsselter virtueller Maschinen mit Replizierung auf alternative Sites. Vermeiden Sie potenzielle „Namenskollisionen“ mit Objekten in anderen Datencentern und Clustern.

Einige Organisationen benennen Systeme nicht mit Bezeichnern des physischen Standorts, etwa Straßenadressen. Stattdessen ziehen es vor, den physischen Standort von Datencentern durch die Verwendung von Begriffen wie „Site A“, „Site B“ usw. zu verschleiern. Dies hilft auch, wenn Standorte verlagert werden. Dadurch wird verhindert, dass alles umbenannt werden muss oder falsche Informationen verbleiben.

Beachten Sie bei der Entscheidung für ein Benennungsschema, dass viele Objekte ähnliche Eigenschaften aufweisen können. Beispielsweise könnten zwei Portgruppen dasselbe VLAN zugewiesen sein, aber unterschiedliche Regeln zum Filtern und Markieren des Datenverkehrs. Es kann für eindeutige Objekte dieses Typs hilfreich sein, einen Projektnamen oder eine Kurzbeschreibung in den Namen aufzunehmen.

Abschließend sollten Sie die Automatisierung bei der Entwicklung eines Benennungsschemas in Betracht ziehen. Namen, die programmgesteuert abgeleitet werden können, sind oft hilfreich bei der Skripterstellung und Automatisierung von Aufgaben.

Isolieren von Infrastrukturverwaltungsschnittstellen

Stellen Sie sicher, dass IT-Infrastrukturverwaltungsschnittstellen in ihrem eigenen Netzwerksegment oder als Teil eines isolierten Verwaltungsnetzwerks isoliert sind.

Stellen Sie sicher, dass sich alle für Virtualisierungskomponenten konfigurierten Verwaltungsschnittstellen in einem Netzwerksegment (VLAN usw.) befinden, das nur für die Virtualisierungsverwaltung reserviert und frei von Arbeitslasten und nicht verwandten Systemen ist. Stellen Sie sicher, dass Verwaltungsschnittstellen mit Perimetersicherheitssteuerungen gesteuert werden, sodass nur autorisierte vSphere-Administratoren von autorisierten Arbeitsstationen aus auf diese Schnittstellen zugreifen können.

Einige Systemdesigns setzen vCenter Server und andere Verwaltungstools auf ihre eigenen, von ESXi isolierten Netzwerksegmente ein, da sie eine bessere Überwachung dieser Systeme bieten. Andere Designs setzen vCenter Server mit ESXi-Verwaltung ein, da die Beziehung zwischen den beiden Produkten und die Möglichkeit besteht, dass Firewall-Konfigurationsfehler oder -ausfälle den Dienst unterbrechen. Geben Sie bei der Auswahl des Designs mit Bedacht vor.

Ordnungsgemäßes Verwenden von vMotion

Stellen Sie sicher, dass vMotion die Verschlüsselung in Übertragung begriffener Daten verwendet (für virtuelle Maschinen auf „Erforderlich“ festgelegt) oder dass für vMotion verwendete VMkernel-Netzwerkschnittstellen in ihren eigenen Netzwerksegmenten isoliert sind, die über Perimetersteuerungen verfügen.

vMotion und Storage vMotion kopieren Arbeitsspeicher- und Speicherdaten der virtuellen Maschine über das Netzwerk. Die Sicherstellung, dass die Daten bei der Übertragung verschlüsselt sind, gewährleistet die Vertraulichkeit. Die Isolierung auf ein dediziertes Netzwerksegment mit geeigneten Perimetersteuerungen kann eine mehrschichtige Verteidigung (Defense in Depth, DiD) und die Verwaltung des Netzwerkdatenverkehrs ermöglichen.

Wie bei allen Verschlüsselungsformen führt die vMotion-Verschlüsselung zu Leistungseinbußen. Aber diese Leistungsänderung tritt im vMotion-Hintergrundprozess auf und wirkt sich nicht auf den Betrieb der virtuellen Maschine aus.

Ordnungsgemäßes Verwenden von vSAN

Stellen Sie sicher, dass vSAN die Verschlüsselung in Übertragung begriffener Daten verwendet oder dass für vSAN verwendete VMkernel-Netzwerkschnittstellen in ihren eigenen Netzwerksegmenten isoliert sind, die über Perimetersteuerungen verfügen.

vSAN bietet Verschlüsselung in Übertragung begriffener Daten, die bei der Kommunikation von vSAN-Knoten zur Aufrechterhaltung der Vertraulichkeit beitragen kann. Wie bei vielen Sicherheitskontrollen muss bei der Leistung ein Kompromiss eingegangen werden. Überwachen Sie die Speicherlatenz und -leistung, wenn die Verschlüsselung in Übertragung begriffener Daten aktiviert ist. Organisationen, die die vSAN-Verschlüsselung in Übertragung begriffener Daten nicht aktivieren oder nicht aktivieren können, sollten den Netzwerkdatenverkehr zu einem dedizierten Netzwerksegment mit entsprechenden Perimetersteuerungen isolieren.

Aktivieren von Network I/O Control

Stellen Sie sicher, dass Sie widerstandsfähig gegenüber Netzwerk-Denial-of-Service-Angriffen sind, indem Sie Network I/O Control (NIOC) aktivieren.

vSphere Network I/O Control (NIOC) ist eine Datenverkehrsverwaltungs-Technologie, die Quality of Service auf Hypervisorebene bietet und die Netzwerkleistung verbessert, indem Ressourcen in Cloud-Umgebungen mit mehreren Mandanten und gemeinsam genutzten Arbeitslastumgebungen priorisiert werden. NIOC wird in vSphere Distributed Switch (vDS) integriert und partitioniert die Bandbreite von Netzwerkadaptern in „Netzwerkressourcenpools“, die verschiedenen Datenverkehrstypen entsprechen, etwa vMotion- und Verwaltungsdatenverkehr. Mithilfe von NIOC können Benutzer diesen Pools Anteile, Grenzwerte und Reservierungen zuteilen.

NIOC behält die Netzwerkverfügbarkeit für wichtige Dienste bei und verhindert eine Überlastung, indem weniger kritischer Datenverkehr begrenzt wird. Dies wird erreicht, indem die Erstellung von Netzwerksteuerungsrichtlinien pro Geschäftsanforderungen ermöglicht, die Isolierung des Datenverkehrstyps sichergestellt und eine dynamische Neuzuteilung von Ressourcen basierend auf Priorität und Nutzung ermöglicht wird.

Nicht konfigurieren der vom Anbieter reservierten VLANs

Stellen Sie sicher, dass die Uplinks des physischen Switches von ESXi-Hosts nicht mit vom Anbieter reservierten VLANs konfiguriert sind.

Einige Netzwerkanbieter reservieren bestimmte VLAN-IDs für interne oder spezifische Zwecke. Stellen Sie sicher, dass ihre vSphere-Netzwerkkonfigurationen diese Werte nicht enthalten.

Konfigurieren von ESXi-Uplinks als Zugriffsports

Stellen Sie sicher, dass die Uplinks des physischen Switches von ESXi-Hosts als „Zugriffsports“ konfiguriert sind, die einem einzelnen VLAN zugewiesen sind, oder als gekennzeichnete 802.1Q-VLAN-Trunks ohne natives VLAN. Stellen Sie sicher, dass vSphere-Portgruppen keinen Zugriff auf VLAN 1 oder nicht gekennzeichnete native VLANs zulassen.

Netzwerkverbindungen, bei denen ein „natives“ VLAN konfiguriert ist, um nicht gekennzeichneten Datenverkehr zu akzeptieren, oder die Zugriff auf VLAN 1 haben, bieten Angreifern möglicherweise die Möglichkeit, spezielle Pakete zu erstellen, die die Netzwerksicherheitskontrollen beeinträchtigen. VLAN 1 ist die Standardeinstellung, die häufig für die Netzwerkverwaltung und -kommunikation verwendet wird und von Arbeitslasten isoliert werden sollte. Stellen Sie sicher, dass Portgruppen nicht für den Zugriff auf native VLANs konfiguriert sind. Stellen Sie sicher, dass VLAN-Trunk-Ports mit bestimmten Definitionen von VLANs (nicht „alle“) konfiguriert sind. Stellen Sie schließlich sicher, dass Portgruppen entsprechend konfiguriert sind, damit Angreifer eine virtualisierte Umgebung nicht verwenden können, um die Netzwerksicherheitskontrollen zu umgehen.

Ordnungsgemäßes Konfigurieren von Speicher-Fabric-Verbindungen

Stellen Sie sicher, dass die Speicher-Fabric-Verbindungen die Verschlüsselung in Übertragung begriffener Daten verwenden oder auf ihren eigenen Netzwerksegmenten oder SANs isoliert sind, die über Perimetersteuerungen verfügen.

Der Schutz von Speicherdaten während der Übertragung trägt zur Gewährleistung der Vertraulichkeit der Daten bei. Verschlüsselung ist für viele Speichertechnologien keine Option, häufig aufgrund von Verfügbarkeits- oder Leistungsproblemen. In diesen Fällen kann die Isolierung auf ein dediziertes Netzwerksegment mit den entsprechenden Perimetersteuerungen eine effektive Ausgleichssteuerung sein und für eine mehrschichtige Verteidigung sorgen.

Verwenden der LUN-Maskierung auf Speichersystemen

Stellen Sie sicher, dass die Speichersysteme LUN-Maskierung, Zonenzuweisung und andere speicherseitige Sicherheitstechniken einsetzen, damit Speicherzuteilungen nur für den vSphere-Cluster sichtbar sind, in dem sie verwendet werden sollen.

Durch die LUN-Maskierung auf dem Speicher-Controller und die SAN-Zonenzuweisung wird sichergestellt, dass der Speicherdatenverkehr für nicht autorisierte Hosts nicht sichtbar ist und dass nicht autorisierte Hosts die Datenspeicher nicht mounten können, um damit andere Sicherheitskontrollen zu umgehen.

Begrenzen von Verbindungen zu autorisierten Systemen

Ziehen Sie die Verwendung der vCenter Server Appliance-Firewall in Betracht, um Verbindungen zu autorisierten Systemen und Administratoren zu begrenzen.

Die vCenter Server Appliance enthält eine einfache Firewall. Mit ihr können Sie eingehende Verbindungen auf vCenter Server begrenzen. In Kombination mit Perimetersicherheitssteuerungen kann dies für eine effektive mehrschichtige Verteidigung sorgen.

Stellen Sie wie immer vor dem Hinzufügen von Regeln zum Blockieren von Verbindungen sicher, dass Regeln vorhanden sind, die den Zugriff von administrativen Arbeitsstationen aus ermöglichen.

Kein Speichern von Verschlüsselungsschlüsseln ohne Absicherung des physischen Zugriffs auf ESXi-Hosts

Die Umgebung darf keine Verschlüsselungsschlüssel auf ESXi-Hosts speichern, ohne auch den physischen Zugriff auf die Hosts zu schützen.

Zum Verhindern von Abhängigkeitsschleifen speichert vSphere Native Key Provider Entschlüsselungsschlüssel direkt auf den ESXi-Hosts, entweder in einem Trusted Platform Module (TPM) oder als Teil der verschlüsselten ESXi-Konfiguration. Wenn Sie jedoch einen Host nicht physisch schützen und ein Angreifer den Host stiehlt, könnte der Angreifer verschlüsselte Arbeitslasten entsperren und ausführen. Daher ist es wichtig, physische Sicherheit zu gewährleisten (siehe Schutz von Systemen vor Manipulationen) oder sich für die Verwendung eines Standardschlüsselanbieters zu entscheiden (siehe Definition eines Standardschlüsselanbieters), der zusätzliche Netzwerksicherheitskontrollen enthält.

Verwenden von dauerhaften Nicht-USB-Geräten ohne SD mit ausreichender Größe für ESXi-Startvolumes

Die Umgebung muss dauerhafte Nicht-USB-Geräten ohne SD mit ausreichender Größe für ESXi-Startvolumes verwenden.

Flash-Arbeitsspeicher ist eine Komponente, die sich im Laufe der Zeit abnutzt, wobei jeder Datenschreibvorgang seine Lebensdauer verkürzt. SSDs und NVMe-Geräte verfügen über integrierte Funktionen, um diese Abnutzung zu reduzieren und sie zuverlässiger zu machen. SD-Karten und die meisten USB-Flashlaufwerke verfügen jedoch nicht über diese Funktionen und können oft ohne erkennbare Anzeichen im Laufe der Zeit Zuverlässigkeitsprobleme aufweisen, etwa fehlerhafte Sektoren.

Sie können beim Installieren von ESXi auf diesen Geräten Überwachungs- und Systemprotokolle auf einer RAM-Disk speichern, anstatt sie dauerhaft auf dem Gerät zu schreiben. Auf diese Weise sorgen Sie dafür, dass die Abnutzung abgemildert wird und USB-Geräte länger halten. Dies bedeutet, dass Sie neue langfristige Speicherorte für diese Protokolle einrichten und die Protokollausgabe ändern müssen, um an diese neuen Speicherorte zu gelangen.

Die Auswahl eines zuverlässigen Startgeräts entfernt diese zusätzlichen Schritte und hilft ESXi automatisch, Sicherheitsüberwachungen zu bestehen.

Ordnungsgemäßes Konfigurieren des vSAN iSCSI-Ziels

Stellen Sie sicher, dass das vSAN iSCSI-Ziel seine eigenen VMkernel-Netzwerkschnittstellen verwendet, die in seinem eigenen Netzwerksegment isoliert sind und separate Perimetersteuerungen mithilfe von Filterung und Markierung des verteilten Portgruppendatenverkehrs, NSX oder externer Netzwerksicherheitskontrollen verwendet.

Da sich die iSCSI-Zielclients außerhalb des Clusters befinden, isolieren Sie sie auf ihren eigenen Netzwerkschnittstellen. Auf diese Weise können Sie andere, ausschließlich interne Netzwerkkommunikationen separat einschränken. Die Isolierung dieses Typs hilft auch bei der Diagnose und Verwaltung der Leistung.